Honeypots
__ __ __ .-----.--.--.----.| |.--.--.--| |.-----.--| | .-----.----.-----. | -__|_ _| __|| || | | _ || -__| _ |__| _ | _| _ | |_____|__.__|____||__||_____|_____||_____|_____|__|_____|__| |___ | by ProXy - member of excluded-team |_____| v.1.0 / 04.01.2004 Honeypots - Enemy Recognition - Erklaerung - Honeynet Projekt + Honeypots '- Bedeutung - Arten von Honeypots - Verwendung - Honeypot-Software + Trends -------------------------------------------------------------------- INTRO -------------------------------------------------------------------- Feindeserkennung? welche Feinde denn wird sich jetzt der ein oder andere fragen.. Scriptkiddies, Viren und Wuermer, Blackhats die neue Angriffe austesten, komischer Traffic, etc.. Ein Computer welcher mit dem Internet verbunden ist wird tagtaeglich all diesen Gefahren ausgesetzt! um sich gegen solche Gefahren schuetzen zu koennen muss man genau ihre Vorgehensweise kennen. Und um diese auszuforschen gibt es Honeypots! -------------------------------------------------------------------- DAS HONEYNET PROJEKT -------------------------------------------------------------------- 1999 wurde von Lance Spitzner das Honeynet Projekt ins Leben gerufen, es sollte Licht in die Finsternis bringen! Das Honeynet ist eine Architektur aus miteinander vernetzten Computern auf denen die unterschiedlichsten Betriebssysteme installiert sind welche auf Standardkonfigurationen belassen wurden. Sobald eine neue noch nicht bekannte Sicherheitsluecke erfolgreich ausgenutzt wurde wird sie in entsprechenden Mailinglisten und Newsgroups bekanntgegeben, sodass Developer dann schnellstmoeglich Patches und Bugfixes dafuer entwickeln koennen! Das Honeynet wird mittels 'Sensoren'(IDS) ueberwacht welche den gesamten eingehenden Netzwerk-Verkehr aufzeichnen aber von Angreifern nicht (oder kaum) entdeckt werden koennen. Es wurde dann mit dem Internet verbunden und alles dem Lauf der Dinge ueberlassen. ueberblick: - Das Honeynet ist auf mehreren Ebenen automatisiert - Erfassung moeglichst vieler Daten durch Artenvielfalt - Schutz gegen Modifizierung und Zerstoerung der Daten | durch eigens gesicherten Systemlog-Backup-Server + Verbesserte Kontrollen '- Verhinderung von Angriffen auf Dritte + Alarmumgebung und Beaufsichtigung '- Warnmails an den Administrator bei Zugriff auf das System - manuelles eingreifen moeglich Offizielle Website des Honeynet-Projekts: http://www.honeynet.org -------------------------------------------------------------------- HONEYPOTS -------------------------------------------------------------------- 'Honeypot' was bedeutet es? Ins deutsche uebersetzt koennte man es Honigtopf nennen.. Honig ist suess, und in einer gewissen Weise verlockend.. Ich denke das Wort wurde gewaehlt weil ein Honeypot durch seine vorgegaukelten Sicherheitsluecken eine leichte Beute darstellt und so boese Buben anlocken kann! Von einem Honeypot geht idr kein Datenverkehr aus daher kann er nur durch entsprechende Scans entdeckt werden. -------------------------------------------------------------------- Arten von Honeypots -------------------------------------------------------------------- 1. High Interaction So nennt man die oben beschriebenen Computer mit 'echten Betriebssystemen' die auf Standard-Konfiguration belassen wurden, welche auch in Honeynets vorkommen! 2. Low Interaction Das sind Honeypots welche nur als Software implementiert sind und beschraenkte Moeglichkeiten vorgeben! z.B. werden nur Ports geoeffnet und auf connects gewartet, Andere wiederum simulieren bestimmte Server wie telnet, http, ssh, samba, pop3, imap,.. |<- Low Interaction Honeypots werden dann in zwei Arten unterteilt | | |-> physical honeypots | Hier handelt es sich um Systeme auf welchen die Honeypot-Software laeuft! | |-> virtual honeypot Hier handelt es sich um simulierte Computer welche nebenher aktiv sind. Der honeypot agiert wie ein eigenstaendiger Computer im netzwerk welcher auch seine eigene IP-Adresse bezieht (like vmware).. -------------------------------------------------------------------- Verwendungs-Typen von HONEYPOTS -------------------------------------------------------------------- 1. Produktivitaets Honeypots - Sicherheitserhoehung eines Netzwerks - Schutz einer Organisation 2. Forschungs Honeypots - Zum Sammeln von Informationen ueber Verwundbarkeiten, Bedrohungen | und Angreifer (Werkzeuge, Motive, Taktiken) - Fruehwarnsystem fuer neue Exploits und Wuermer -------------------------------------------------------------------- Honeypot-Software -------------------------------------------------------------------- HoneyD - http://www.citi.umich.edu/u/provos/honeyd/ Bait´n´Switch - http://violating.us/projects/baitnswitch/ KFSensor - http://www.keyfocus.net/kfsensor/ NetFacade - http://www22.verizon.com/fns/netsec/fns_netsecurity_netfacade.html Honeyperl - http://sourceforge.net/projects/honeyperl/ Honey-Potter - http://honeypott4.tripod.com/ single-honeypot - http://sourceforge.net/projects/single-honeypot/ Tiny Honeypot - http://www.alpinista.org/thp/ -------------------------------------------------------------------- TRENDS -------------------------------------------------------------------- Inzwischen soll es auch schon Honeypot-Accesspoints (WLAN) geben, welche Wardriver & Wlan H4x0r aktivitaeten aufzeichnen. Dabei handelt es sich nach meinen Informationen um als ungesicherte WLANs getarnte und mit einer verlockenden SSID bestueckte Systeme.. Diese sollen aber nur in Grossstaedten aktiv sein (USA) um die groesse der Wardriver-Szene abschaetzen zu koennen, und nicht der Strafverfolgung dienen... -------------------------------------------------------------------- Kopieren erlaubt - aendern verboten! ProXy http://www.excluded.org